Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, sin embargo se propaga únicamente en Windows NT/2000/Server 2003. Está desarrollado en Microsoft Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

La muestra obtenida fue enviada desde España (+2 GMT)  

Al ingresar a un sistema libera y auto-copia a la carpeta %System% los siguientes archivos:

scardsvr32.exe de 20 KB y es una copia del gusano) 
scardsvr32.dll   (componente DLL del gusano)
mofei.cfg          (contiene su configuración en forma encriptada)  

Y para activarse la próxima vez que se inicie el equipo modifica la llave de registro:

Para todos los sistemas el gusano agrega además la siguiente llave: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"NavAgent32" = "%System%\ScardSvr32.exe" 

En los sistemas operativos Windows NT/2000/XP crea la siguiente llave: 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardDrv]

Al siguiente reinicio el gusano se activa en memoria y al no tener ningún mecanismo de control, se puede ejecutar en forma constante pudiendo agotar la memoria RAM de los sistemas infectados. 

Luego el gusano intenta propagarse en las Redes aprovechando la vulnerabilidad de los recursos compartidos Admin$ e IPC$:  

NOTA: Un intruso puede establecer una comunicación válida con el servidor, conectándose al IPC$ como null, sin necesidad de introducir el nombre del Usuario o la Clave de Acceso.

Para ello utiliza el siguiente comando:

C:\>net use \\[IP_del_equipo]\IPC$ "" /user:""

ADMIN$ es el recurso que utiliza el sistema durante la administración remota de los equipos, siendo siempre su ruta de acceso la Raíz del sistema.

Las siguientes direcciones IP se encuentran encriptadas dentro del código del gusano para su propagación: 

• 192.168.0.3
• 192.168.0.20
• 164.100.0.0
• 164.100.255.255

El gusano busca direcciones IP aleatorias, que incluyen las de los equipos conectados en la Red local (LAN), las cuales almacena en un archivo generado denominado MOFEI.DAT. 

Asimismo intenta conectarse a la Red como Administrador usando la siguiente lista de Claves de Acceso: 

• admin
• end
• 123
• tcpang
• yhchen
• cthsieh
• ing
• flora
• hychen
• rober
• smchou
• corden
• cesil
• shhung
• wachen 

Estas palabras pueden ser usadas indistintamente como Usuario o como Administrador. 

Si logra conectarse, el gusano copia los siguientes archivos en las rutas: 

\\IP_del_equipo_remoto\ADMIN$\System32\Scardsvr32.exe 
\\IP_del_equipo_remoto\ADMIN$\System32\MoFei.VER 
\\IP_del_equipo_remoto\IPC$\System32\Scardsvr32.exe 
\\IP_del_equipo_remoto\IPC$\System32\MoFei.VER 

Luego ejecuta Scardsvr32.exe y crea una cuenta denominada "tsinternetuser" y en caso ésta existiese el gusano modificará la Clave de Acceso y la cuenta será agregada al grupo local de Administradores.  

El gusano también inserta copias de su código viral en forma de "hilos remotos" en los archivos EXPLORER.EXE y LSASS.EXE. Este último es un proceso de autenticación de seguridad local en servidores con tecnología NT.

Actuando como Backdoor puede ejecutar en forma remota los siguientes comandos en los equipos locales:

• ? - show help message
• Ver - show Windows version
• Exit - exit program
• Passwd - change password
• Port - change port
• Cmd - get Windows command shell
• Run – run a command
• Pwd - get current directory
• Cd - change directory
• Dir - list files
• Del - delete a file
• Mkdir - make new directory
• Rmdir - remove a directory
• Exec - execute a DOS command
• Wget - download Internet file
• Bind - bind a port
• Bindoff - close bind

Para transmitir información entre el equipo infectado y el equipo remoto del atacante, usa los puertos 135 (epmap DCE endpoint resolution) y 139 (NETBIOS Session Service).

En el código del virus se puede leer esta cadena:

Sus payloads son los siguientes: